Kas tai? Eksperto įžvalgos

Nauja pareiga — vertinti poveikį duomenų apsaugai

Publikuota: 2017-11-06

Bendrajame duomenų apsaugos reglamente yra dar viena naujovė - pareiga atlikti vadinamąjį poveikio duomenų apsaugai vertinimą, kuri atsiranda esant tikimybei, kad duomenų tvarkymo operacijų metu kils didelis pavojus asmenų teisėms ir laisvėms. Čia kalbama ne tik apie pavojų privatumui ir asmens duomenims, nors tai, žinoma, išlieka pagrindinis rūpestis. Žvelgiama plačiau - pavojus gali kilti asmenų žodžio, minties, religijos, saviraiškos laisvėms, nuosavybės, laisvo judėjimo teisėms ir kt.

Šis įpareigojimas taip pat bus taikomas nuo Reglamento įsigaliojimo dienos ir bus skirtas tiek duomenų valdytojams ir tvarkytojams ūkio subjektams (ir juridiniams, ir fiziniams asmenims), tiek valstybinės valdžios institucijoms. Už jo nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos.

Poveikio duomenų apsaugai vertinimas (angl. Data Protection Impact Assessment, toliau — DPIA) iš esmės yra ne kas kita, kaip jau žinomas duomenų apsaugos įmonėje, įstaigoje, organizacijoje auditas, kurio metu yra įvertinamos atliekamos operacijos bei ateičiai parenkami tam tikri sprendimai, turintys užtikrinti duomenų subjektų teisių ir laisvių apsaugą duomenų tvarkymo operacijų metu.

Šiuo metu galiojanti pareiga duomenų valdytojams (tvarkytojams), prieš pradedant tvarkyti asmens duomenis, registruotis Asmens duomenų valdytojų registre nuo Reglamento įsigaliojimo dienos yra naikinama, vadinasi, formaliai mažinama ūkio subjektams tenkanti administracinė našta. Tačiau iš tiesų naujasis reikalavimas atlikti DPIA daugumai subjektų bus rimtas iššūkis ir pareikalaus ne tik laiko, tam tikrų žinių, bet ir papildomų finansinių įmonės, įstaigos ar organizacijos resursų.

Kai kalbame apie DPIA, mintyse turime du aspektus. Pirma, duomenų valdytojas (tvarkytojas) turi įsivertinti, ar, prieš pradedant tvarkyti asmens duomenis, jam apskritai yra privaloma atlikti DPIA (be abejo, ūkio subjektas gali atlikti DPIA ir savanoriškai). Antra, jei atsakymas teigiamas, jis turi atlikti ir įgyvendinti patį DPIA bei, jei to konkrečiu atveju reikalauja Reglamentas, tokio vertinimo rezultatus pateikti priežiūros institucijai.

Jau užsiminiau, kad DPIA nėra privalomas visais atvejais, o tik kai duomenų tvarkymo operacijų metu fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus. Savaime suprantama, didelis yra vertinamoji sąvoka, tačiau Reglamentas pateikia nebaigtinį sąrašą kriterijų, kuriuos valdytojui (tvarkytojui) atpažinus savo veikloje būtų laikoma, kad duomenų tvarkymo operacijų keliamas pavojus yra didelis. Tam tikrais itin išimtiniais atvejais, net ir nustačius didelį pavojų, Reglamentas leidžia DPIA neatlikti.

Reglamentas didelį pavojų visuomet sieja su duomenų tvarkymo operacijomis, kurios apima naujų technologijų naudojimą arba yra naujos rūšies operacijos, arba susijusios su duomenų perdavimu už ES ribų. Galioja taisyklė, kad jei duomenų valdytojui (tvarkytojui) kyla abejonių, ar jam poveikio vertinimas yra privalomas, rekomenduojama DPIA atlikti.

Pirma kriterijų grupė apima situacijas, kai duomenų valdytojo (tvarkytojo) veikla yra susijusi su sistemingu ir įvairiapusiu duomenų subjekto asmeninių aspektų automatizuotu vertinimu (įskaitant profiliavimą), kai tai duomenų subjekto atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį. Šių operacijų metu yra siekiama analizuoti arba numatyti tokius duomenų subjekto asmeninius aspektus, kurie yra susiję su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu. Tokių veiklų pavyzdžiai galėtų būti e. parduotuvės atliekama jos klientų pirkimų istorijos analizė, siekiant pasiūlyti individualizuotą produktų krepšelį, arba trumpiausio kelionės maršruto sudarymas ir pasiūlymas programėlės naudotojui, remiantis programėlės surinkta informacija apie jo buvimo vietą, judėjimo greitį, naudojamą transporto priemonę, ir pan.

Antra kriterijų grupė numato, jog DPIA turės būti atliekamas, jei duomenų valdytojo (tvarkytojo) veikla yra susijusi su Reglamente nurodytų specialių kategorijų duomenų tvarkymu dideliu mastu. Tai liečia tiek tam tikrų kategorijų duomenų subjektus, pavyzdžiui, vaikus, psichinėmis ligomis sergančius asmenis, senjorus ir kt., arba tai yra susiję su tam tikrų kategorijų duomenimis, pavyzdžiui, apie teistumą, sveikatą, politines pažiūras, finansinę padėtį, taip pat asmens privatų susirašinėjimą bei tokią asmeniniams poreikiams tenkinti naudojamą informaciją ir duomenis, kaip antai, nuotraukas, užrašus, laikomus „debesyje“ ar kitose duomenų e. kaupyklėse, ir pan. Didelis mastas reiškia, kad yra atliekama tiek ir tokių duomenų tvarkymo operacijų, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų.

Trečia kriterijų grupė apima veiklas, kurių metu yra atliekamas sistemingas viešos vietos stebėjimas dideliu mastu. Šis kriterijus padeda užtikrinti tokių valdytojo (tvarkytojo) veiklų kontrolę, kurių metu viešose vietose stebimi duomenų subjektai paprastai nežino, kas juos stebi bei kaip jų duomenys vėliau gali būti panaudojami, nekalbant apie tai, kad esama daug situacijų, kai duomenų subjektai gali nė nežinoti, kad apskritai yra stebimi, pavyzdžiui, vaizdo stebėjimo gatvėse, viešojo transporto stotelėse ir kt. atveju.

Savaime suprantama, nesant didelio pavojaus asmenų teisėms ir laisvėms, arba jei DPIA jau anksčiau buvo atliktas panašaus turinio operacijoms įvertinti ir jos stipriai nesikeitė, arba egzistuoja teisinis pagrindas ES arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui (tvarkytojui), ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, pareiga atlikti DPIA neatsiranda.

Kalbant apie tai, kaip DPIA turi būti atliekamas, į pagalbą duomenų valdytojui (tvarkytojui) ateina duomenų apsaugos pareigūnas, jei tokį valdytojas (tvarkytojas) privalo turėti arba savanoriškai nusprendžia turėti. Reglamente yra pateikti kertiniai orientaciniai DPIA atlikimo metodologijos etapai, numatantys, jog vertinime turi būti bent jau:

 

1. aprašomos duomenų tvarkymo operacijos, tvarkymo tikslai;
2. aprašomas duomenų tvarkymo operacijų reikalingumas ir proporcingumas, palyginti su tikslais, ir pateikiamas to vertinimas;
3. įvertinamas pavojus duomenų subjektų teisėms ir laisvėms;
4. aprašomos tokiems pavojams šalinti reikalingos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi Reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

Naujasis reguliavimas numato pareigą nacionalinėms priežiūros institucijoms (Lietuvoje — Valstybinei duomenų apsaugos inspekcijai) iki 2018 m. balandžio 30 d. sudaryti ir viešai paskelbti duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti DPIA, sąrašą, taip pat ir sąrašą tokių operacijų, kurioms vertinimo atlikimo reikalavimas netaikomas. Susipažinus su šiais sąrašais, ūkio subjektams bus neabejotinai daug paprasčiau įsivertinti, ar jų veiklai reikalingas DPIA, o iki to laiko duomenų valdytojams (tvarkytojams) rekomenduojama pradėti savarankiškai analizuoti savo veiklos procesus ir operacijų turinį jau aptartų kriterijų ir metodologijos etapų kontekste.

Visais atvejais DPIA turės būti atliekamas iš naujo, kai keisis atliekamų procesų ir operacijų turinys. Nesant tokių duomenų valdytojo (tvarkytojo) veiklos pokyčių, rekomenduojama, jog DPIA būtų kartojamas kas treji metai, arba, priklausomai nuo vykdomos veiklos pobūdžio, — ir daug dažniau.

Taigi, kad ir kokį metodą pasirinktų duomenų valdytojas (tvarkytojas), įgyvendindamas anksčiau aptartus etapus ir siekdamas DPIA numatytų tikslų, svarbu, kad poveikio duomenų apsaugai vertinimas nebūtų laikomas dar viena formalia pareiga. Naujuoju reguliavimu siekiama, kad patys valdytojai (tvarkytojai) DPIA suprastų kaip reikšmingą bei naudingą vidinį įmonės, įstaigos, organizacijos procesą, kurio tikslus įmanoma pasiekti tik su sąlyga, kad toks vertinimas yra atliekamas kruopščiai ir teisingai, laikantis Reglamento reikalavimų ir įsiklausant į rekomendacijas.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą

Rašyti komentarą

Ką apie valdančiosios daugumos dėlionę kalba joje dalyvaujančių partijų lyderiai Premium

Atnaujintą valdančiąją koaliciją bandančios sulipdyti keturios partijos nesutaria kai kuriais klausimais –...

JAV svarsto papildomus muitus ES prekėms

Pirmadienį JAV pareiškė, kad svarsto įvesti dar daugiau tarifų prekėms iš Europos Sąjungos (ES) kaip atsaką į...

Lietuvos bankas kol kas į NT mokestį nežiūri kaip į finansinio stabilumo priemonę 3

Lietuvos bankas (LB) nekilnojamojo turto (NT) mokesčio kol kas nemato kaip finansinio stabilumo priemonės ir...

„Aberdeen“ nupirko „Modus Group“ saulės jėgaines Lenkijoje 3

„Modus Group“ pardavė saulės jėgainių parkus Lenkijoje vienos didžiausių Europoje turto valdymo įmonės...

Pramonė
11:37
Pseudobutų pirkėjų godos: iššūkiai sudėtingi, bet įveikiami Premium 2

Įvairioms institucijoms vėl garsiau pradėjus kalbėti apie „butų“ statybas komerciniuose pastatuose, tokiuose...

Hidrologinė sausra skelbiama nacionaliniu mastu 

Lietuvos hidrometeorologijos tarnybos prie Aplinkos ministerijos (LHMT) pranešimu, hidrologinė sausra kaip...

Darbą pradeda naujos kadencijos EP

Antradienį Strasbūre prasideda naujos kadencijos Europos Parlamento (EP) pirmoji sesija, kuri tęsis iki...

Šeimos verslas – dinastijų užuomazgos?

Tikrų verslo dinastijų užuomazgų Lietuvoje dar tik randasi – įžanga į šį procesą galėtų būti šeimos verslo...

Gazelė
05:50
„E energijos“ saulės parkus Lenkijoje nusipirko britų gigantė Premium

„E energijos“ grupė drauge su partnere „Sun Investment Group“, birželio pabaigoje Lenkijoje užbaigusi 42 MW...

Dveji metai su nauju Darbo kodeksu skaičiais 8

Lygiai prieš dvejus metus įsigaliojo naujas Darbo kodeksas, turėjęs įvesti į darbo rinką daugiau lankstumo.

Vadyba
2019.07.01
Premjeras viliasi, kad koalicijos sutartis bus šią savaitę 2

Premjeras Saulius Skvernelis pareiškė tikįs, kad dar šią savaitę pavyks suderinti ir pasirašyti atnaujintos...

Verslo aplinka
2019.07.01
Iranas pažeidė branduolinio susitarimo nuostatas dėl urano sodrinimo limito

Iranas pirmadienį pažeidė leistiną 2015 m. branduoliniame susitarime numatytą Irano mažai prisodrinto urano...

Verslo aplinka
2019.07.01
Ryškėja lyderiai į svarbiausius ES postus

Po kol kas ilgiausių iki šiol trunkančių derybų dėl aukščiausių Europos Sąjungos (ES) postų ryškėja pirmosios...

Verslo aplinka
2019.07.01
Lukiškių kalėjimas antradienį uždaromas: iškeldinti paskutiniai nuteistieji 1

Pirmadienį iškeldinus paskutinius nuteistuosius, antradienį bus skelbiamas oficialus sostinėje veikusio...

Verslo aplinka
2019.07.01
MMA kils bemaž dešimtadaliu  6

Nuo kitų metų minimali mėnesio alga (MMA) iki mokesčių padidės nuo dabartinių 555 iki 607 Eur. Gaunančiųjų...

Verslo aplinka
2019.07.01
VŽ pristato 10 didžiausių Lietuvos bendrovių pagal 2018 m. pajamas 13

Kaip ir kasmet, „Verslo žinios“ sudarė Lietuvos bendrovių TOP 1000 pagal jų praėjusiais metais uždirbtas...

Verslo aplinka
2019.07.01
Gaisras Traksėdžių durpyne suvaldytas, išdegė apie 20 ha

Šilutės rajone penktadienio popietę kilęs gaisras Traksėdžių durpyne suvaldytas, išdegė apie 20 ha, BNS...

Verslo aplinka
2019.07.01
Šią savaitę svarbu  1

Prasideda naujoji Europos Parlamento kadencija, Lietuvos Seime tęsiasi bandymai suformuoti platesnę...

Verslo aplinka
2019.07.01
„Teisybės kardas“ – virš politinių oponentų galvų 10

Seimo narių pomėgis kurti laikinąsias komisijas yra ne tik tuščiai švaistomas laikas – tai mėginimas...

Verslo aplinka
2019.07.01
VŽ analizė: Seimo laikinosios komisijos dažniausiai politikuoja ir švaisto laiką  Premium 4

Per pastaruosius du dešimtmečius Seime buvo suformuota ne viena dešimtis laikinųjų tyrimų komisijų...

Verslo aplinka
2019.07.01

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau